HiveArmor/hivearmor

GitHub: HiveArmor/hivearmor

企业级开源 SIEM/XDR 平台,通过实时日志关联、威胁情报和自动化响应实现超大规模安全事件的可见性与快速处置。

Stars: 0 | Forks: 0

# HiveArmor **超大规模事件可见性引擎** — 企业级 SIEM/XDR 平台。 HiveArmor 将 SIEM(安全信息和事件管理)和 XDR(扩展检测与响应)技术与实时日志关联、威胁情报和自动化响应相结合。关联操作在数据摄入之前运行,从而减轻工作负载并缩短响应时间。 ## 功能 - 实时日志关联与威胁检测 - 告警调查与事件管理 - 威胁情报与 IOC 扩充 - MITRE ATT&CK 覆盖 - 安全合规报告 - SOC AI 驱动的分析 - 端点 agent(Windows / Linux / macOS) - 17 个集成插件(AWS、Azure、GCP、CrowdStrike、Sophos 等) ## 架构 ``` Log source → Agent/Collector → gRPC → EventProcessor → parse → enrich → correlate → OpenSearch (_v3_hive_-YYYY.MM.DD) → Backend API → HiveArmor UI ``` | 服务 | 技术 | |---|---| | UI | Next.js 14 + React 18 (TypeScript) | | API | Java 17 + Spring Boot 3.3 + JHipster 8 | | 关联引擎 | Go 1.25.5 (event-processor + 17 个插件) | | Agent | Go 1.25.5 | | 日志存储 | OpenSearch 2.x | | 应用数据库 | PostgreSQL 16 | ## 快速开始(本地开发) **前置条件:** Docker、Node 20、Java 17、Go 1.25.5、Maven 3.9+ ``` # 1. 启动 full stack cd local-dev cp .env.example .env # fill in required secrets docker compose up -d # 2. 启动 Next.js dev server cd frontend-v2 npm install npm run dev # → http://localhost:3000 (admin / localdev123!) ``` 后端 API:http://localhost:8088 OpenSearch Dashboards:http://localhost:5601 ## 系统要求(生产环境) | 数据源 | 热存储 | CPU | RAM | 磁盘 | |---|---|---|---|---| | 50 | 120 GB/月 | 4 核 | 16 GB | 150 GB | | 120 | 250 GB/月 | 8 核 | 16 GB | 250 GB | | 240 | 500 GB/月 | 16 核 | 32 GB | 500 GB | | 500 | 1 TB/月 | 32 核 | 64 GB | 1 TB | 当数据源超过 500 个时,请添加辅助节点以进行水平扩展。 ## 安装 ``` # 下载 installer(推荐 Ubuntu 22.04 LTS) wget https://github.com/hivearmor/hivearmor/releases/latest/download/hivearmor_installer chmod +x hivearmor_installer sudo ./hivearmor_installer ``` 安装完成后,请使用输出至 `/root/hivearmor.yml` 的凭据,通过 `https://` 访问 UI。 ### 所需端口 | 端口 | 协议 | 用途 | |---|---|---| | 22 | TCP | SSH(限制为管理员 IP 访问) | | 80 | TCP | HTTP 重定向至 HTTPS | | 443 | TCP | HiveArmor UI 和 API | | 9090 | TCP | Cockpit 服务器管理 | 特定集成可能需要额外端口(详见集成指南)。 ## 安全性 - 所有 agent 到服务器的通信均使用 TLS 1.3 加密 - 服务隔离在容器中,并具有严格的相互认证 - 连接通过每个 agent 24 个字符以上的唯一密钥进行身份验证 - 用户凭据在数据库中加密,并由 fail2ban 和可选的 2FA 提供保护 - 定期进行代码审查,以排查易受攻击的依赖项 ## 贡献 请参阅 [CONTRIBUTING.md](CONTRIBUTING.md) 了解相关指南。 ## 许可证 HiveArmor 是根据 AGPL version 3 许可的开源软件。请参阅 [LICENSE](LICENSE)。
标签:AMSI绕过, Go, Python工具, Ruby工具, Spring Boot, 域名枚举, 威胁检测, 安全运营中心, 日志关联分析, 日志审计, 测试用例, 网络映射, 自动化响应, 请求拦截